Professional Documents
Culture Documents
Диплом Кибирев Д.А.
Диплом Кибирев Д.А.
ЗВІТ
Харків 2020
ЗМІСТ
ВСТУП.......................................................................................................................3
ВСТУП
1.
2.1. Дослідження погроз безпеки і атак у мережі SS7
3.1 Огляд
Підготовлений фондом OWASP cписок 10 найбільш актуальних
вразливостей додатків - це відмінний ресурс для розробників, які
прагнуть створювати захищені продукти. Справа в тому, що багато
мобільні додатки за своєю природою уразливі для погроз безпеки.
Згадаймо, наприклад, ряд гучних атак, які сталися за останні роки. До
них можна віднести шпигунське ПЗ Pegasus для WhatsApp, за
допомогою якого зловмисники змогли роздобути управління
пристроями користувачів месенджера. Ще одним прикладом з'явився
злом додатки Pokémon Go, який дозволив користувачам за допомогою
реверс-інжинірингу маніпулювати GPS-даними і ловити більше
покемонів.
Багато інших додатків і організації, такі як Tinder і MediaTek,
також стали жертвами атак. Але що ж робить подібні ресурси
уразливими? Для мобільних додатків характерна більш широка
поверхню атаки, ніж для їх веб-аналогів, так як вони викачуються з
публічних майданчиків і дають можливість проінспектувати код.
Плюсом до цього, такі програми, як правило, збирають величезну
кількість інформації користувача, що робить їх ще більш привабливим
засобом для кібер-злочинців.
На основі проведеного опитування та аналізу зворотного зв'язку
світової спільноти проект по забезпеченню безпеки мобільних додатків
(OWASP) вперше надав інформацію про пов'язаних з нею ризики в
2011 році. Після цього аналогічні дослідження проводилися в 2014 і
2016 роках. Останнє з цих досліджень і є найбільш актуальним на
сьогодні.
18
3. Небезпечна комунікація
Якщо дані передаються незашифрованими у вигляді чистого тексту,
будь-який, хто відстежує цю мережу, може перехопити і прочитати їх.
Мобільні додатки, як правило, обмінюються даними по моделі клієнт-
сервер. При цьому процес передачі через мережу оператора або інтернет
повинен бути реалізований безпечно. Трафік може перехоплюватися проксі-
серверами, базовими станціями, а також за допомогою злому WiFi або
шляхом установки на пристрій шкідливого ПЗ.
Метод запобігання наступний: Для уникнення крадіжки даних в
процесі їх передачі по мережі слід покладатися на затверджені індустрією
протоколи шифрування і інші практики, включаючи: Установку SSL / TLS
сертифікатів від перевірених центрів сертифікації (CA).
Попередження користувачів при виявленні недійсного SSL / TLS
сертифіката або в разі провалу перевірки ланцюжка сертифікатів.
21
4. Небезпечна аутентифікація
Перш ніж надати доступ, додаток повинен перевірити справжність
користувача. Обхід аутентифікації зазвичай реалізується через існуючі
уразливості, такі як неправильна перевірка сервісних запитів сервером.
Мобільні додатки повинні перевіряти і утримувати справжність користувача,
особливо в процесі передачі конфіденційних даних, наприклад, фінансової
інформації.
Метод запобігання наступний: Використання слабких місць механізму
аутентифікації дозволяє зловмисникам обходити системи перевірки паролів
або отримувати додаткові дозволи, здійснюючи крадіжку даних і інші дії.
Для запобігання подібних ризиків рекомендується:
Виключити локальну аутентифікацію. Замість цього можна передати її
виконання на сторону сервера і завантажувати дані додатки тільки після
успішної перевірки автентичності користувача.
Утриматися від використання вразливих методів аутентифікації (наприклад,
посвідчення пристрої), не зберігати паролі локально, реалізувати
мультифакторна аутентифікацію (MFA), заборонити використання 4-
ціферний PIN-коду в якості пароля і т.д.
6. Небезпечна авторизація
Для різних користувачів передбачаються різні права, в результаті чого
одні отримують стандартний доступ, в той час як інші, наприклад
адміністратори, можуть мати додаткові дозволи і привілеї. Слабкі схеми
авторизації, незважаючи на успішну перевірку автентичності користувача,
можуть не справлятися з перевіркою його прав на доступ до запитуваною
ресурсів. Подібний недолік дозволяє хакерам авторізовиваться і виконувати
атаки з метою підвищення привілеїв.
Метод запобігання наступний як і у випадку з аутентифікацією,
недоліки авторизації можуть вести до крадіжки даних, підриву репутації і
навіть штрафів за недотримання вимог. Як протидія цим ризикам варто
розглянути наступні варіанти: Реалізувати перевірку сервером кожного
запиту на предмет відповідності вхідних ідентифікаторів тієї особистості
користувача, з якої вони асоціюються.
Перевіряти ролі і дозволу аутентифицированного користувача,
використовуючи інформацію з бекенд-систем, а не з мобільного пристрою.
8. Підробка коду
Іноді в магазинах зустрічаються підроблені версії додатків. Від
оригіналу їх відрізняє вбудоване в виконуваний файл шкідливий вміст,
наприклад закладка, що дозволяє отримувати несанкціонований доступ до
системи. Зловмисники можуть повторно підписувати ці підроблені програми
та розміщувати їх в сторонніх магазинах або навіть безпосередньо
доставляти жертві через фішингові атаки.
Метод запобігання наступний: Підробка коду програми може вести до
втрачених вигод, крадіжці особистих даних, підриву репутації та іншим
згубних наслідків. Для запобігання подібних проблем існують такі
рекомендації:
24
9. Реверс-інжиніринг
Зловмисники можуть розібрати і декомпілювати додаток для аналізу коду.
Цей спосіб злому особливо небезпечний, так як дозволяє інспектувати,
зрозуміти і змінити код, включивши в нього шкідливу функціональність або
транслювання небажаної реклами. Розібравшись в принципі роботи
програми, хакери можуть змінити його за допомогою таких інструментів, як
IDA Pro, Hopper та інших. Після реалізації потрібного їм поведінки, вони
можуть повторно скомпілювати додаток і використовувати в своїх намірах.
Метод запобігання наступний: Перешкодити зловмиснику виконати
реверс-інжиніринг програми може тільки неможливість провести
деобфускацію коду за допомогою IDA Pro, Hopper і аналогічних
інструментів.
ВИСНОВОК